Des chercheurs de SRLabs (Security Research Labs) ont mis au point des applications (Actions pour Google, Skill pour Amazon) pour les assistants numérique Home et Echo.
Elles ont passé sans problème les processus de contrôle des deux géants du Net et étaient utilisables sur n'importe quelle enceinte connectée (les applications ont depuis été supprimées).
Deux attaques différentes ont été menées. La première fait croire que l'application n'est pas disponible dans votre pays, l'utilisateur pensant alors que l'application s'est arrêtée. En fait, elle laisse seulement une minute de blanc avant d'annoncer une mise à jour pour l'enceinte connectée, en demandant à l'utilisateur son mot de passe.
Dans la seconde attaque, l'application semble fonctionner correctement et fait croire à l'utilisateur que la session est terminée et qu'elle arrête donc d'écouter. En réalité, ce n'est pas le cas.
Amazon et Google ont été contactées en amont. Les deux sociétés ont affirmé à Ars Technica qu'elles avaient mis en place des changements dans leurs procédures de validation, sans plus de détail.
Rien ne dit non plus que des applications malveillantes de ce genre ne sont pas encore disponibles sur les deux assistants numériques. Une preuve qui montre une fois de plus qu'il faut être prudent face à ce genre de produits.
Commentaires (38)
#1
HS mais assez “drôle”: Google et les plaques d’imatriculation de voiture.
https://jalopnik.com/google-is-reading-your-license-plates-1839259494
Fonctionne parfaitement en Europe/France.
Essai bmw 116d FJ-915-PD de la semaine dernière L’Automobile magazine
Résultats Google Images https://www.google.com/search?q=fj+915+pd&source=lnms&tbm=isch&sa=X&biw=1758&bih=1029
#2
J’ai rien compris. Quelqu’un pour m’expliquer ?
#3
grosso modo, les gars ont fait des appli qui quand tu les installes :
C’est pas demain la veille que j’aurais ce genre de trucs chez moi.
#4
Des chercheurs en sécurité ont créé 2 applications pour enceinte connectée. Une qui récupérait le mot de passe de l’utilisateur et une qui continuait à écouter en faisant croire qu’elle était arrêtée.
#5
Voilà, c’est plus clair que moi.
#6
Google lit les images et les met a dispositions.
#7
Ho la vache ! Pas souvent que je suis étonné par les capacités de Gogole mais là…
Bientôt la même chose pour les visages… Ha ? c’est déjà le cas ? ok
#8
On peut installer des applis sur un google home ? Ok. C’est pour ca que je comprennais rien.
Merci
#9
oui comme dit dans l’article :
des applications (Actions pour Google, Skill pour Amazon) pour les assistants numérique Home et Echo
#10
Solution ? Arrêtez d’acheter un truc inutile, ils ont inventé un besoin qui n’es que purement commercial…
#11
Une chose importante tout de même à noter : tant que le Google Mini écoute les LEDs sont allumées et “vibrent” au son de la voix.
Clairement il suffit de regarder l’appareil il n’y a jamais le moindre doute sur le fait qu’il écoute à ce moment.
#12
Hahaha ! J’ai essayé avec le numéro d’immatriculation de ma voiture, et j’ai obtenu des photos… de chars d’assaut.
Tout ça parce qu’il se termine par “T 35”.
#13
Non, ils mettent à disposition un système fort pratique d’interaction vocale. C’est plutôt bien fait, notamment l’intégration avec la domotique, si les produits sont compatibles, évidemment.
Maintenant, le soucis de confidentialité, ça peut-être un problème, mais je suppose qu’il est exactement le même avec chaque téléphone cellulaire, au niveau écoute.
Pour la partie domotique, une prise de contrôle intempestive, ça pourrait être réellement plus chiant : chauffage poussé à fond, déverrouillage des portes, sirènes d’alarme non stop ou diffusion HP à fond, arrosage du jardin, remplissage piscine etc…" />
L’I.A. de l’assistant Google est balbutiante : je fais un test récurrent depuis un an pour voir son évolution ; je pose 2 questions coup sur coup :
C’est pas demain la veille SkyNet…" />
#14
Donc tu me fait 1 phrase de prétendues qualités et le reste de défauts xD
Pour la domotique et tout le reste une bête tablette comme “télécommande” pour piloter tout ça et hop. C’est naturel chez toi de dire “lumière” en rentrant dans une pièce ?
C’est naturel de dire “google ouvre les volets” plutôt que d’appuyer sur un raccourcis rapide sur un écran ? Idem comment tu dis à google “ferme les volets mais laisse un peu ouvert celui de la 3eme fenêtre je ferais sortir le chat par là” ?
Tu te contente de confirmer ce que j’ai dis, c’est purement et simplement inutile et tu ajoute que le système est encore basique et très “bête” au sens intelligence dans l’interaction…
J’attend avec impatience qu’une personne glisse un haut parleur près d’une vitre ou aération et fasse “OK Google, ouvre la porte” verrouillée avec une serrure connectée (suffit d’enregistrer la commande une seule fois par exemple en sonnant la veille au soir)
Nan franchement les risques sont dément comparé à un bénéfice purement fictif inventé par les sociétés qui commercialisent ces produits.
J’ai eu un Nabaztag et un Karotz, j’ai jamais discuté vraiment avec, je le pilotais avec une appli et des tag NFC qui lançais la musique, la radio, les infos, … Lui dire plutôt que poser un ptit tag NFC dessus ? Je vois pas l’intérêt de lui parler.
#15
Une chose encore plus importante tout le monde à un champ de vision d’à peu près 180° (réellement un peu moins)
Le principe d’un “assistant vocal” c’est que t’a pas besoin de tes yeux pour communiquer comme avec un écran ^^ explique moi l’intérêt si tu dois regarder le truc ?
#16
#17
bah tu as déjà un peu ça avec la recherche inversée (même si je soupçonne que ça fonctionne(ait ?) plus par rebond : la recherche retrouve l’image et donne le nom en fonction du contexte, soit avec les meta, soit avec le contenu de la page hébergeant la photo reconnue)
#18
C’est pas entièrement vrai, ça peut avoir un vrai intérêt pour des personnes en situation de handicap.
#19
#20
De pouvoir lui faire exécuter des tâches avec les mains pleines ou sales (perso sa fonction première chez moi est de lancer des minuteurs quand je cuisine).
Mais au delà de ça ce n’est pas parce qu’on n’identifie pas l’intérêt qu’il n’existe pas ou ne viendra pas avec le temps. Si je prends l’exemple du smartphone, à ses début je ne voyais pas l’intérêt alors que maintenant on a de quoi faire énormément de choses en mobilité avec. La technologie des assistant vocaux en est à ses balbutiements, les possibilités viendront plus tard.
Pour en revenir à la brève, le problème est surtout côté utilisateur. A lui de ne pas télécharger n’importe quoi et surtout de vérifier l’éditeur de la solution. Après on a toujours le problème du tiers de confiance.
Et un petit regard sur l’assistant pour voir si les led sont allumées ça ne mange pas de pain (les appareils google et amazon ont des lumières bien visibles lorsqu’ils enregistre les requêtes)
#21
Keuwaaah ?!? Un appareil espion qui permet d’espionner/laisse passer des applis qui espionnent ? Shoking !!
#22
Le fait d’avoir vécu sans alors que ça n’existait pas veut pas dire que ça répond pas à un vrai besoin.
#23
Ça c’est pas étonnant, c’est même encore plus fort, si je cherche dans mes google photos en tapant chien, j’ai toutes les photos de mon chien qui remonte grâce au traitement IA/mots clés :) à mon avis ils ont le même genre d’algo sur l’indexation d’images, ça veut dire que tu peux avoir une image qfdhsfidsf.jpg sans aucune mention aux chien qui remontrera dans les résultats google image de “chien” :)
#24
#25
#26
#27
#28
Je comprends pas vraiment les commentaires négatifs sur les assistants vocaux suite à cet article précis… Si j’ai bien compris, on parle d’une application que l’utilisateur DOIT installer de son plein gré, et ensuite il doit être assez stupide pour donner son mot de passe " />
Ces mecs ne sont pas chercheur en cybersécurité, mais plutôt en bêtise humaine… Soyons sérieux 30 secondes, si je donne ma carte bancaire et son code à un inconnu dans la rue, je vais pas me plaindre auprès de la banque d’avoir eu un piratage de mon compte…
Après je ne vais pas débattre dans la globalité des assistants vocaux, mon commentaire se limite purement à cette news.
#29
#30
#31
#32
#33
Tu n’as pas de téléphone (filaire ou mobile) ? C’est assez rare, quand même.
#34
#35
#36
C’est clair, pas besoin d’installer des applis dessus le concept même de ces machins est déjà un gros problème de sécurité en soit, le fait de pouvoir installer des applis moisies dessus ne fait qu’empirer un problème déjà existant à la base.
Je n’ai pas souvenir d’avoir vu passer beaucoup de choses sur le merdier de chez Google mais pour celui d’Amazon suffit de chercher Alexa rien que sur ce site pour voir remonter un beau paquet de soucis de sécurité, genre le machin qui interprète mal les mots qu’il entend et balance des conversations privées aux 4 vents pour l’un des derniers en date par exemple.
#37
#38
C’est tout le problème avec ces machins décentralisés : on a aucun contrôle sur l’endroit où partent les données collectées ni quelle utilisation va en être fait et quand on voit que les boites derrière ces bidules sont des spécialistes de la collecte/revente de données personnelles ….
Je ne suis pas forcément hostile au concept de base de ce genre de trucs mais hors de question de leur faire confiance tant que le traitement ne se fera pas intégralement en local.